Het contact tussen de gemeente Amersfoort en een externe softwareleverancier waar de gegevens van honderdduizend huidige en voormalige inwoners werden gestolen verliep moeizaam, zo laat wethouder Johnas van Lammeren in een brief aan de gemeenteraad weten. Daarnaast gaat de gemeente met de leverancier in gesprek over de consequenties van het datalek.

De gemeente werd op 31 oktober door de softwareleverancier ingelicht dat die was getroffen door een aanval. Het was toen nog niet bekend dat er ook gegevens van de gemeente waren gecompromitteerd. Vanwege de overgang van een on-premise applicatie naar een SaaS-oplossing, is in het kader van de migratie op 17 oktober een (database) back-up door de gemeente geüpload naar een beveiligde omgeving.

De softwareleverancier heeft deze back-up, met gegevens van inwoners van de gemeente Amersfoort, gedownload naar zijn eigen netwerk. De leverancier verzorgt het digitale afsprakensysteem van de gemeente, waar inwoners afspraken kunnen maken voor een nieuw paspoort of rijbewijs. De back-up bestaat uit twee datasets met gegevens van 2009 tot en met 10 oktober 2024. De "oude" dataset met persoonsgegevens van 2009 tot en met 2019 is niet versleuteld. De "nieuwe” dataset", van 2016 tot en met 10 oktober 2024, bevat persoonsgegevens die deels versleuteld zijn.

Op 1 november vond een eerste contact plaats tussen de gemeente en de softwareleverancier waarin onder andere nadere vragen werden gesteld over de back-up die de gemeente had verstrekt. "In een poging precies te achterhalen wat er is gebeurd hebben we de softwareleverancier meerdere malen om informatie verzocht. Dit proces verliep moeizaam. Met behulp van een advocaat, externe experts en eigen onderzoek hebben wij het beeld zo goed als mogelijk gereconstrueerd", laat Van Lammeren weten.

De reden om de advocaat in te schakelen was dat de benodigde gegevens voor een risico-inschatting voor de (voormalige) inwoners op 12 november nog altijd niet was ontvangen. De advocaat heeft de leverancier per brief op 13 november en per e-mail op 15 en 18 november gesommeerd alsnog de benodigde informatie, waaronder de rapportage van een expertbureau, te verstrekken. Op woensdag 20 november kreeg de gemeente schriftelijke bevestiging van de leverancier dat er sprake was van een datalek, waarbij gegevens van inwoners zijn buitgemaakt.

Naast het per brief informeren van zevenduizend getroffen inwoners van wie het Burgerservicenummer (BSN) is gestolen gaat de gemeente ook in gesprek met de softwareleverancier over de consequenties van dit incident, aldus Van Lammeren (pdf).